Эта статья обсуждает интеграцию данных из CrowdStrike EDR для генерации историй, которые вы можете просмотреть в Рабочей области Историй Cato.
Используя API-коннектор, вы можете интегрировать данные из детекций CrowdStrike для создания историй для конечных устройств. Истории по конечным точкам помогают получить более полное представление о потенциальных угрозах в вашей сети.
История создаётся в CMA путем корреляции обнаружений CrowdStrike на основе ID Инцидента. Эти истории включают все релевантные доказательства для детекции, идентифицированной CrowdStrike. Рабочая область Историй показывает истории по конечным точкам вместе с другими типами историй, и вы можете сортировать и фильтровать истории, чтобы сосредоточиться на инцидентах конечных точек.
Истории CrowdStrike создаются практически в реальном времени после того, как первоначальное оповещение сгенерировано.
Чтобы интегрировать данные про CrowdStrike EndPoint Detection с Cato XOps, вам нужно настроить API-коннекторы для CrowdStrike. После создания коннектора движок EndPoint Detection получает и анализирует данные детекции от CrowdStrike.
Для получения дополнительной информации о просмотре XOps историй, включая данные из CrowdStrike, см. Drilling-Down and Analyzing XOps Security Stories.
- Для просмотра историй Cato XOps для обнаружений CrowdStrike требуется лицензия XOps или MDR. События генерируются без лицензии
- Требуется лицензия Falcon Insight (EDR)
- Чтобы добавить коннектор, у вас должны быть разрешения редактора для Интеграции (в разделе Ресурсы). Для получения дополнительной информации см. Управление административными ролями с использованием RBAC.
Чтобы создать коннектор между Cato и вашим арендатом CrowdStrike, вам необходимо:
- Создать API Клиент на платформе Falcon Crowdstrike
- Создать API-коннектор в CMA
На платформе Falcon CrowdStrike создайте API Клиент.
Для создания API Клиента:
-
В вашей платформе Falcon CrowdStrike перейдите в Поддержка и ресурсы > API клиенты и ключи.
- Нажмите Создать API-клиент.
-
Добавьте Имя клиента и Описание, а также доступ на Чтение для этих областей:
- Оповещения
- Инциденты
- Threatgraph
- Сохраните Client ID, Секрет, и Базовый URL, чтобы они могли быть добавлены в CMA.
После создания API клиента добавьте данные в CMA.
Чтобы настроить Коннектор CrowdStrike в CMA:
- Из меню навигации выберите Ресурсы > Интеграции.
- На вкладке Встроенные приложения нажмите Новое. Откроется панель Новая интеграция.
- Из выпадающего меню SaaS Приложение выберите CrowdStrike.
- Введите Имя, Описание (необязательно) и Базовый URL, Application ID, и Секрет клиента из шага 1.
- (Необязательно) Выберите отслеживание ошибок в интеграции, создавая событие.
- Нажмите Сохранить.
Столбец Статус на странице Настроек коннекторов показывает статус соединения между приложением CrowdStrike и вашей учетной записью Cato. Это объяснения статусов:
- Подключено - Ваша учетная запись подключена к приложению и работает корректно
- Ожидание согласия пользователя - Разрешения не были предоставлены для доступа Cato к приложению CrowdStrike. Для решения этой проблемы, обновите браузер. Если Статус меняется на Подключено, проблема решена, если Статус не меняется, удалите и создайте коннектор снова.
- Ошибка - Есть проблема с соединением, разрешениями, лицензией или другой проблемой с коннектором. Удалите и создайте коннектор заново.
После создания коннектора истории будут видны в Рабочей области Историй.
Для просмотра страницы Рабочей области Историй:
- Из меню навигации нажмите Домой > Рабочая область Историй.
Для получения информации о столбцах в Рабочей области Историй смотрите Понимание колонок историй
Для получения дополнительной информации о просмотре историй XOps, включая данные от Microsoft Defender, смотрите Drilling-Down and Analyzing XOps Security Stories
0 комментариев
Статья закрыта для комментариев.